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Иммунокомпьютинг в управлении 
инцидентами информационной безопасности 


Исследование связано с проблемой повышения эффективности управления инцидентами информационной 
безопасности в инфокоммуникационных и социотехнических системах. Цель статьи — предложение нового 
подхода к управлению инцидентами на базе иммунокомпьютинга. Результатами исследования являются: 
выделенные целевые характеристики иммунной системы; обоснование подхода через метод индукции и 
обобщенную модель управления инцидентами; структура и функции иммунной мультиагентной системы 
управления инцидентами информационной безопасности. 


Введение 


Ощутимым проявлением проблемы инфомационной безопасности (ИБ) является 
факт наличия зарегистрированных и возникновения новых инцидентов. Причем 
наблюдаемый с 1998 г. по настоящее время рост числа инцидентов ИБ [1], 
заставляет задуматься о поиске новых, кардинальных, более эффективных и, 
возможно, нестандартных путей решения задачи управления инцидентами ИБ. 

Начиная с 70-х гг. ХХ века были созданы и продолжают совершенствоваться 
теоретические исследования [2], [3], объясняющие естественные принципы и 
механизмы, лежащие в основе иммунитета, а также их математические модели [4], [5]. 
В журнале «Искусственный интеллект» была статья [6], посвященная одной из 
таких моделей. Хотя вследствие некоторых пробелов в понимании механизмов 
имунного ответа и межклеточных взаимодействий на сегодня отсутствует единая 
теория иммунитета, тем не менее теоретические предпосылки биофизических и 
медицинских исследований послужили толчком к возникновению нового направления в 
информатике — иммунокомпьютинга. Это дало возможность синтезировать прототипы 
искусственных иммунных систем (ИИС) для практических приложений [7]. 

Одним из активно исследуемых приложений ИИС явлется защита информации, 
где естественная иммунная система (ИС) рассматривается как источник идей и методов 
решения задач ИБ. Опираясь на [5] и сделав поиск по ряду научных порталов Пиегпеф на 
сегодня можно выделить два общих поднаправления исследований ИИС для ИБ: 
1) иммунные системы обнаружения вторжений, на базе алгоритма отрицательного 
отбора; 2) иммунные системы распознавания новых компьютерных вирусов. 

Однако нерешенными остаются вопросы применения иммунного подхода для 
автоматизации и интеллектуализации процессов управления инцидентами ИБ. 

Целью настоящего исследования является предложение нового подхода к 
управлению инцидентами ИБ, построенного по принципу биоаналогии на базе ИИС. 

Задачи, решаемые в исследовании: обоснование междисциплинарного подхода к 
управлению инцидентами; построение обобщенной модели управления инцидентами; 
определение требований и функций управления инцидентами ИБ; синтез структуры 
ИИС для управления инцидентами ИБ. 
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Методы исследования: метод индукции (общенаучное обобщение), теория систем, 
эволюционный подход, интеллектуальная обработка данных, иммунокомпьютинг, 
агентно-ориентированный подход (мультиагентные системы). 


Парадигма искусственной иммунной системы 


Согласно [8] все биологические системы на уровне клеток и молекул могут 
рассматриваться как системы обработки информации. Но только нервная и иммунная 
системы обладают исключительными способностями к интеллектуальной обработке 
информации, включая механизмы распознавания, идентификации, принятия решений 
в условиях неопределенности, обучения и ассоциативной памяти [5]. По мнению 
некоторых ученых [4] ИС у позвоночных животных сложнее, чем нервная система. 

ИС представляет собой высокопараллельную распределённую децентрализованную 
систему временных коллективов клеток (В-, Т-лимфоцитов, макрофагов, фагоцитов, 
лимфокинов и др. [3]), способную к адаптивной интеллектуальной обработке инфор- 
мации [4]. На данном этапе исследования ограничимся лишь рассмотрением основной 
способности ИС [7]: распознавать как своих или чужих огромное количество 
молекулярных структур — антигенов с дальнейшей их классификацией и стимуляцией 
соответствующих защитных механизмов. При этом результатом распознавания является 
обучение и формирование памяти к антигену. Знания о схожих антигенах используются 
при реакции на новые инфекции. Так ИС создает, совершенствует и использует 
знания об окружающем мире. Реакция на антиген может происходить не только на 
уровне отдельных распознающих единиц, но и на общесистемном уровне (в зави- 
симости от уровня серьезности и способа проникновения инфекции [3]). Локальные 
взаимодействия определяют и реализуют глобальную иммунную реакцию, что в 
совокупности с непрерывной изменчивостью и адаптивностью иммунной памяти к 
частоте и силе антигенных сигналов является примером эффективной защиты при 
ограниченных ресурсах. 

Подчеркнем аналогию функций естественной ИС с основными функциями, 
которые должна выполнять система управления инцидентами ИБ: 

— регистрация, выявление и оценка серьезности событий, имеющих признаки 
инцидента, на ранних стадиях их реализации, сбор доказательств (улик) для 
последующего расследования; 

- идентификация инцидента на основе оперативного анализа доказательств, 
принятие решения в условиях не полной определенности имеющейся информации и 
при необходимости генерация сигнала тревоги; 

— обработка и устранение последствий инцидента путем введения в действие 
соответствующих ресурсов безопасности. 


Обоснование междисциплинарного подхода 


Междисциплинарный подход к решению задачи управления инцидентами (ИБ) 
обоснуем методом индукции через сопоставление и обобщение фактов возникновения 
инцидентов информационных процессов, которые имеют место в системах самой 
разной природы от инфокоммуникационных (ИКС) и социотехнических (СТС) до 
биологических [8-14]. 
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По последним представлениям ряда различных научных направлений, таких, как 
социотехническая инженерия ИБ в СТС [9], защита и оценка информации в ИКС [10], 
теория информации [11], теоретическая физика [12], математическая биофизика и 
биоинформатика [8], эволюционная теория, коэволюция и ноосферогенез [13], [14] — 
информация, вещество и энергия составляют основу всех наблюдаемых процессов 
в системах самых различных уровней. К такому же заключению более 100 лет назад 
пришел Менделеев [15], ставя при этом именно информационные процессы на 
первом месте. В подтверждение этому в исследовании [16] формально доказано, что 
информационное обеспечение в любой системе, которая имеет цель, является 
важнейшим условием эффективного функционированиия. 

Иммунокомпьютинг применительно к управлению инцидентами ИБ в ИКС и 
СТС будем реализовывать с учетом постулатов эволюционной теории [13], [14]: 

— целесообразность: «выживают» лишь те ИКС/СТС, которые в наибольшей степени 
соответствуют ситуации, то есть приспосабливаются к инцидентам; 

— адаптация: архитектура комплексной системы информационной безопасности 
(КСИБ) должна позволять динамически адаптироваться к новым инцидентам; 

— самоорганизация: процесс эволюции ИКС/СТС приводит к непрерывному совер- 
шенствованию ее структуры в связи с перераспределением ресурсов. 

Проведем междисциплинарную декомпозицию свойства безопасности абстракт- 
ной системы и взаимосвязанных с ним понятий, а также процессов управления и 
обработки инцидентов для следующих типов (уровней) систем: биологических, ИКС, 
СТС. Задача управления инцидентами в абстрактной системе является недостаточно 
формализованной и недоопределенной с точки зрения четкой структуры терминов 
ввиду недостаточной разработки более общей (по сравнению с классической) теории 
систем. Применив аппарат теории систем, получим следующую цепочку определений. 

Под системой будем понимать целое, составленное из множества элементов, 
находящихся в отношениях и связях друг с другом, образующие определенную 
целостность, единство. Вследствие закона эволюционного выживания именно 
внешние вызовы и угрозы безопасности являются причиной образования систем, 
ограждающих входящие в их состав элементы от угроз различного характера. 

С позиции междисциплинарного подхода под безопасностью будем понимать 
состояние защищенности системы от внешних и внутренних угроз. Угроза безопас- 
ности — совокупность условий, факторов, создающих опасность для системы (риск 
не превышает допустимый уровень). Состояние — мгновенное отражение системы, 
определяемое через характеристики входных воздействий, выходных сигналов и ее 
элементов. Поведение — способность системы переходить из одного состояния в 
другое. Равновесие (гомеостаз) — способность системы в отсутствии внешних 
возмущающих воздействий сохранять свое состояние сколь угодно долго. 

Инцидент — событие, состоящее в реализации угрозы и выходе системы из 
состояния равновесия. Устойчивость — способность системы возвращаться в состояние 
равновесия после инцидента. 

Процесс управления инцидентами — процесс регистрации информации о 
состоянии безопасности и равновесия (гомеостаза) системы, передача ее в пункты 
накопления и переработки, анализ поступающей, накопленной и справочной 
информации, принятие решения о реагировании на основе выполненного анализа, 
выработка соответствующего управляющего воздействия и доведение его до объекта 
управления (обработка инцидента). 
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Обобщенная модель управления инцидентами 


Применяя формализм теории систем [18], построим обобщенные модели 

систем, соответствующие типам (уровням). 
1. Для биологических систем: 

Вгобуз = (СМ, ЕС, МВ, ЕТ, ЕС, КР), (1) 
где СМ - генетическое начало; ЕС — условия существования; МВ — метаболизм; ЕТ -— 
эволюция; РС — функционирование; КР — репродукция. 

2. Для инфокоммуникационных систем: 
1С$уз = (1В, ЕМ, ТВ, СМ, 05, 5У), (2) 
где /А — информационные ресурсы; ЕМ — среда; ТК — телекоммуникационные 
ресурсы; СМ — контроль, эксплуатация, проектирование; (5 — качество; 5Т — 
надежность. 
3. Для социотехнических систем: 
5Т5уз = (ВТ, ВО, ЕХ, ММ, ЕЕ, ЕБ), (3) 
где А/ — внутренние ресурсы; КО — внешние ресурсы; ЕХ — исполнители; ММ -— 
менеджмент, реинжиниринг; ЕЁ- эффекты; ЕД — образование, передача знаний. 

Параметры СМ, /К, К представляют собой «входные сигналы» каждой из систем: 
ЕС, ЕМ, КО - непредсказуемые «помехи» (внешние факторы и угрозы); 

МВ, ТК, ЕХ -— «операторы преобразования» (внутренние процессы); 

ЕТ, СМ, ММ - «обратная связь» (процессы внутреннего развития и самоорганизации); 
ЕС, 05, ЕЁ — «сигнал на выходе» каждой из систем (критерии эффективности, 
«целевые» процессы); 

ЕР, 5Т, ЕР — «замыкание цикла» (воспроизводство, обеспечение перехода к следую- 
щим эпохам жизни систем, «новый виток спирали»). 

Можно отметить параллели между параметрами моделей каждой из систем. 
Это подтверждает справедливость предложенного академиком Н.Н. Моисеевым 
«организмического подхода» [13], [14] к развитию природы и общества. 

Почти об этом же речь идет в исследованиях [18], [19], где показано, что 
проблема защиты информации с точки зрения онтологии предметной области и 
метамоделей представления знаний структурно подобна проблеме защиты биологических 
организмов от патогенных факторов. 

Развивая применительно к цели настоящего исследования принцип биоаналогии и 
согласно метафоре «организмического подхода», система управления инцидентами 
ИБ, включая подсистему выявления вторжений (5) в рамках комплексной 
системы информационной безопасности (КСИБ) в ИКС или СТС, должна играть ту 
же роль, что и иммунная система (ИС) в живом организме (у позвоночных). 

Применительно к управлению инцидентами ИБ это должно означать переход 
от «механицизма» к биологической аналогии, когда ИТС понимается как разви- 
вающаяся система, рассматриваемая сквозь призму эволюционной теории. 

Теперь построим обобщенную модель системы управления инцидентами: 


1М5у = (МС, $ЕС, СЕТ, КВ$, Х, У, 5, ОМЕ, АСТ, АК$, ТЕ$, 185, М$Т, Т, 5УМ№), (4) 


где /МС -управление инцидентами (проблема); 5ЕС — безопасность (цель); САГ — 
критерии оценки состояния безопасности; 
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КВ$ — база знаний об инцидентах; Х-— входные воздействия; У - реакция на инцидент; 

5 — состояния системы; МЕ -— функция принятия решений (реагирования); 

АСТ -— агенты; АА5 — ресурсы ИБ, доступные агентам; ТА5 — пробные наборы 

ресурсов; /№5 — инцидентно-ориентированные наборы ресурсов; 

МЫТ - стратегия управления инцидентами; Т- время; 5УМ№ — самоорганизация. 
Подробнее поясним некоторые введенные понятия: 

АСТ — множество программно реализованных мобильных интеллектуальных агентов; 

АК5 — агентно-ориентированный набор ресурсов безопасности, то есть множество 

всех доступных для агентов ресурсов безопасности; 

5 — инцидентно-ориентированный набор ресурсов безопасности, то есть под- 

множество ресурсов, которыми располагают агенты и которое в совокупности 

является достаточным для эффективного реагирования на конкретный тип инцидента; 

ТК5 — пробный (тестовый) набор ресурсов безопасности, то есть подмножество 

ресурсов, которые отбираются для имитационного моделирования, прогноза и 

адаптации к неизвестному типу инцидента. 

ОМЕ - функция, которая включает два подэтапа: принятие решения о включении 

элемента АК5 в набор ТА5 и затем на основании первого подэтапа — принятие 

решения о включении элемента АА5 в набор /К5. 


Иммунная система управления инцидентами ИБ 


Непременным свойством любой системы является наличие структуры, которая 
представляет собой построение системы, отражающее наиболее существенные 
взаимосвязи между элементами и их группами (подсистемами), которые мало 
меняются при изменениях в системе и обеспечивают устойчивое существование 
системы и ее основных свойств. 

В сетевой и организационной архитектуре ИКС/СТС выделим подсистему 
автоматизированного управления инцидентами ИБ (рис. 1). 
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Рисунок 1 — Структура иммунной мультиагентной системы 
управления инцидентами ИБ 
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Будем проектировать данную систему, используя иммуно-мультиагентную 
технологию [19]. Рассмотрим 4 класса агентов (рис. 2): агенты-детекторы; агенты- 
идентификаторы; агенты-координаторы; агенты-реакторы. 


. Макрофаги 


агенты-рецепторы 


Инцидент 
Фагоциты информационной < В-лимфоциты 
агенты-реакторы У“ безопасности . агенть-идентификаторы 
. а 
са Т-лимфоциты | 


агентьы-координаторы 


Рисунок 2 — Цикл и функции управления инцидентами посредством ИИС 


Агенты-детекторы соответствуют макрофагам и другим антиген-презентирующим 
клеткам, которые выставляют частицы антигена на своей поверхности, привлекая 
внимание В-лимфоцитов для распознавания. Агенты-идентификаторы соответст- 
вуют В-лимфоцитам, которые распознают антиген и заранее подвергались 
«отрицательному отбору» в тимусе. Агенты-координаторы соответствуют лимфокинам, 
выделяемым Т-лимфоцитами для активации В-лимфоцитов. Агенты-реакторы 
соответствуют фагоцитам, имеющим антитела для уничтожения антигена. 

Выделим следующие этапы управления инцидентами с помощью ИИС: 

1) индикация агентами-детекторами любой подозрительной активности; 

2) распознавание агентами-идентификаторами ненормальной активности как 
определенного типа инцидента при условии нахождения в базе знаний соответст- 
вующей сигнатуры или выявление аномалии по отношению к эталону поведения; 

3) получение подсистемой реагирования сигнала от 0$ об идентифи- 
цированном известном или неизвестном инциденте; 

4) идентификация атакующего набора угроз инцидента при условии наличия в 
базе знаний корреляции между характеристиками полученного сигнала об инци- 
денте и записями о наборах атакующих угроз; 

5) формирование тестовых наборов механизмов защиты согласно алгоритму, 
который генерируется базой знаний; 

6) имитационное моделирование эффективности перекрытия тестовым набором 
механизмов защиты — набора атакующих угроз конкретного идентифицированного 
инцидента; 

7) принятие решения относительно выбора инцидентно-ориентированного 
набора механизмов защиты; 

8) выдача подсистемой обработки управляющего сигнала агентам-реакторам 
относительно обработки инцидента с помощью инцидентно-ориентированного 
набора механизмов защиты; 
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9) самоорганизация и оценка подсистемой обратной связи и агентами- 
детекторами эффективности использования инцидентно-ориентированного набора 
механизмов защиты, пополнение баз знаний новым опытом, расследование и анализ 
инцидента, выработка управляющего сигнала относительно превентивных действий. 

Для того, чтобы составить единый организм, агенты должны обеспечивать 
гомеостатическое регулирование ИКС/СТС в целом. Под гомеостатическим регули- 
рованием понимается управление инцидентами, поддерживающее целевые характеристики 
ИКС/СТС, в пределах, обеспечивающих ее безопасность, качество, надёжность и 
живучесть. 


Выводы 


В ходе исследования были получены новые научно-теоретические результаты: 
впервые предложен, логически обоснован и математически формализован иммун- 
ный подход к интеллектуальному управлению инцидентами ИБ в ИКС и СТС, 
построена обобщенная модель управления инцидентами. Показана практическая 
целесообразность и прикладное значение полученных результатов на примере 
разработки прототипа структуры и функций иммунной системы управления 
инцидентами ИБ на базе агентно-ориентированного подхода к построению рас- 
пределенных программных систем. Данный подход обеспечивает динамическое 
адаптивное управление при возникновении новых инцидентов. Применение ИИС в 
автоматизации и интеллектуализации управления инцидентами ИБ может позволить 
достичь качественно нового уровня обеспечения и управления ИБ в ИКС и СТС. 
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С.В. Гладиш 

Гмунокомп’ютинг в керуванн! нцидентами 1нформацйно: безпеки 

Дослдження пов’язане з проблемою шдвищення ефективност! керування 1нцидентами 1нформащйно1 
безпеки в 1нфокомушкащйних та сощотехнчних системах. Мета статт! — пропозищя нового шдходу 
до керування 1нцидентами на баз! 1мунокомп’ютингу. Результатами дослдження е: видлен! щльов1 
характеристики 1мунно! системи; обгрунтування шдходу через метод 1ндукцй та узагальнену модель 
керування 1нцидентами; структура й функцй 1мунно! мультиагентно! системи керування 1нцидентами 
1нформащйно! безпеки. 


5.7. С1аду5й 

Пптипосотрийпто ш шгтайоп ЗесигИу шсо4ет Мапаретепе 

Тре гезеагсь сопсегп$ еЁй<епсу ппргоуше оЁ шЮптаНноп зесигиу шее тапагетепё ш 
шЮсошшишсайоп ап зос1то-{есбтиса| зузетл$. ТЬе 2оа| 1$ © ргорозе а пем питипо]оз1саПу-шзриеа 
арргоасН 10 шс14еп{5 тапазетепе. ТВе гези5 оЁ Фе гезеагсВ аге: Бе осизе4 {агое( ргорег@ез оЁ питипе 
$у5еп1$; Ше арргоасВ ргооЁР Бу Фе ш4исйоп ап Фе сепега|те4 то4е| оР шс14еп тапазетепе; Фе 
эегасфиге апа РлпсНоп$ оРап питипе пи!#-асепё зузет ог шРогтаНоп зесигиу шс14ет$ тапазетепт. 


Статья поступила в редакцию 25.12.2007. 
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